Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwaltete Rotation von AWS Secrets Manager Geheimnissen
Einige Services bieten eine verwaltete Rotation an, bei der der Service die Rotation für Sie konfiguriert und verwaltet. Bei der verwalteten Rotation verwenden Sie keine AWS Lambda Funktion, um das Geheimnis und die Anmeldeinformationen in der Datenbank zu aktualisieren.
Die folgenden Services bieten eine verwaltete Rotation:
Amazon Aurora bietet eine verwaltete Rotation für Master-Benutzeranmeldedaten. Weitere Informationen finden Sie unter Passwortverwaltung mit Amazon Aurora und AWS Secrets Manager im Amazon-Aurora-Benutzerhandbuch.
Amazon ECS Service Connect bietet eine verwaltete Rotation für AWS Private Certificate Authority TLS-Zertifikate. Weitere Informationen finden Sie unter TLS with Service Connect im Amazon Elastic Container Service Developer Guide.
Amazon RDS bietet eine verwaltete Rotation für Master-Benutzeranmeldedaten. Weitere Informationen finden Sie unter Passwortverwaltung mit Amazon RDS und AWS Secrets Manager im Amazon-RDS-Benutzerhandbuch.
Amazon Redshift bietet eine verwaltete Rotation für Administratorkennwörter. Weitere Informationen finden Sie unter Verwaltung von Amazon Redshift-Administratorkennwörtern mithilfe von AWS Secrets Manager im Amazon Redshift Management Guide.
Tipp
Informationen zu allen anderen Secret-Typen finden Sie unter Rotation durch Lambda-Funktion.
Die Rotation für verwaltete Geheimnisse ist in der Regel innerhalb einer Minute abgeschlossen. Während der Rotation erhalten neue Verbindungen, die das Geheimnis abrufen, möglicherweise die vorherige Version der Anmeldeinformationen. Bei Anwendungen wird dringend empfohlen, einen Datenbankbenutzer zu verwenden, der mit den Mindestberechtigungen erstellt wurde, die für Ihre Anwendung erforderlich sind, anstatt den Masterbenutzer zu verwenden. Für Anwendungsbenutzer können Sie für höchste Verfügbarkeit die Rotationsstrategie für wechselnde Benutzer verwenden.
Um den Zeitplan für die verwaltete Rotation zu ändern
Öffnen Sie das verwaltete Secret in der Secrets-Manager-Konsole. Sie können einem Link des Verwaltungsservices folgen oder in der Secrets Manager-Konsole nach dem Secret suchen.
-
Geben Sie unter Rotation schedule (Drehungszeitplan) Ihren Zeitplan in der UTC-Zeitzone entweder im Schedule expression builder (Zeitplanausdruck-Generator) oder als Schedule expression (Zeitplanausdruck) ein. Secrets Manager speichert Ihren Zeitplan als
rate()
- odercron()
-Ausdruck. Das Rotationsfenster beginnt automatisch um Mitternacht, es sei denn, Sie geben eine Startzeitan. Sie können ein Secret bis zu alle vier Stunden rotieren. Weitere Informationen finden Sie unter Rotationspläne. -
(Optional) Wählen Sie für Dauer des Fensters die Länge des Fensters aus, in dem Secrets Manager Ihr Secret rotieren soll, z. B.
3h
für ein Drei-Stunden-Fenster. Das Fenster darf nicht in das nächste Rotationsfenster übergehen. Wenn Sie keine Fensterdauer angeben, wird das Fenster für einen Rotationsplan in Stunden automatisch nach einer Stunde geschlossen. Bei einem Rotationsplan in Tagen wird das Fenster am Ende des Tages automatisch geschlossen. Wählen Sie Speichern.
So ändern Sie den Zeitplan für die verwaltete Rotation (AWS CLI)
Rufen Sie die folgende Seite auf
rotate-secret
. Im folgenden Beispiel rotiert das Secret am 1. und 15. Tag des Monats zwischen 16:00 Uhr und 18:00 Uhr UTC. Weitere Informationen finden Sie unter Rotationspläne.aws secretsmanager rotate-secret \ --secret-id MySecret \ --rotation-rules "{\"ScheduleExpression\": \"cron(0 16 1,15 * ? *)\", \"Duration\": \"2h\"}"